【BlackHat 2017】国外研究员主题演讲:某中国公司仍在大量收集Android手机短信、联系人等信息

标签: 终端安全 资讯 blackhat 广升 | 发表时间:2017-07-27 07:17 | 作者:Sphinx
出处:http://www.freebuf.com

BlackHat研究人员:广升仍在收集用户信息

在周三的BlackHat黑帽大会上,来自上海的广升科技(Adups)再一次被推上风口浪尖。研究人员称,广升在至少在两款Android手机中收集用户信息。

去年11月,Kryptowire安全公司的专家发布报告称,美国在售某些品牌的的Andriod手机的固件中存在广升公司的后门,广升为这些手机提供FOTA固件升级解决方案,从而在未经用户允许的情况下,将个人数据传输至其在上海的服务器,包括短信全文、联系人、通话记录等信息。美国主要受这一固件影响的手机品牌为BLU,包括型号R1 HD和Life One X2,在Amazon和Best Buy上有售。

Kryptowire在报告中说,他们针对固件的代码和网络都进行了分析:从事这种行为监测的是某种商业FOTA升级软件系统——那些受影响的Android设备都搭载了这一系统。这套系统就是来自上海广升技术有限公司(Shanghai Adups Technology Co. Ltd)。

BlackHat研究人员:广升仍在收集用户信息

顺带一提,发布这份报告的Kryptowire公司,是由美国国防高级研究计划局 (DARPA) 和国土安全部 (DHS) 联合投资的公司,主要为美国国防、军事、情报机构提供移动应用程序的安全性分析、企业级移动设备安全解决方案等服务。

在昨天的BlackHat 2017大会上,Kryptowire公司联合创始人,去年曾经参与编写报告的研究员Ryan Johnson发表演讲称,今年5月他发现广升公司依然在收集用户数据并将他们传回中国的服务器。

研究人员表示,这些数据包括机主的完整短信、完整号码的通话记录,还有一些设备标识,包括IMSI、序列号、MAC地址还有IMEI号。

“我发现的时候,他们在收集短信、通话记录、GPS位置,之后他们不收集了,”Johnson称,“但今年5月,我发现广升又在收集用户信息。”

根据广升官网的宣传,广升提供FOTA技术服务,目前已与700家领先的芯片厂商、方案设计厂商、ODM/OEM厂商、智能硬件品牌厂商达成战略合作伙伴关系。有7亿设备,包括汽车,使用了该公司的软件。

BlackHat研究人员:广升仍在收集用户信息

去年11月被口诛笔伐后,上海广升科技发布了一则道歉声明,称该­定制化的版本将采集短信内容以满足部分国内品­牌客户手机智能短信模块的需求,通过后端的批­量数据分析,智能识别垃圾短信、公众服务号码­并进行短信分类,从而改善手机体验,不小心包­含在美国销售的BLU设备中。但是研究人员称,广升仍然在部分Blu型号的手机上收集信息。在Blu生产的Grand M手机中,广升收集的信息包括基站ID、安装程序列表、用户的IMSI码和SIM卡序列号。

除此之外,研究人员称,另一家名叫Cubot的中国手机公司也在使用广升的软件,收集的信息除了基站ID、安装程序列表、用户的IMSI码和SIM卡序列号以外还包括手机浏览器的浏览记录。

国内读者可能并不了解Cubot和Blu这个品牌,Cubot在欧洲、非洲、南美和亚洲销售手机。而Blu的手机则在美国销售较多,包括百思买和沃尔玛有售。小编搜索后发现,Blu手机是Amazon上销量最高的无锁手机。

BlackHat研究员:广升仍在收集用户信息

“广升没有任何利用跟踪用户的浏览记录,更不要提其他数据了。”Johnson称。

不过Johnson称在周一对Cubot X16S的测试中发现广升已经停止收集手机信息了。尽管如此,Johnson称广升仍然有能力对大量手机执行命令,包括在用户不知情的情况下安装任意app,截屏,或者擦除所有手机数据。

*参考来源: Threatpost,本文作者:Sphinx,转载请注明来自FreeBuf.COM

相关 [blackhat 研究员 演讲] 推荐:

【BlackHat 2017】国外研究员主题演讲:某中国公司仍在大量收集Android手机短信、联系人等信息

- - FreeBuf.COM | 关注黑客与极客
在周三的BlackHat黑帽大会上,来自上海的广升科技(Adups)再一次被推上风口浪尖. 研究人员称,广升在至少在两款Android手机中收集用户信息. 去年11月,Kryptowire安全公司的专家发布报告称,美国在售某些品牌的的Andriod手机的固件中存在广升公司的后门,广升为这些手机提供FOTA固件升级解决方案,从而在未经用户允许的情况下,将个人数据传输至其在上海的服务器,包括短信全文、联系人、通话记录等信息.

一些演讲

- wang - 增强视觉 | 计算机视觉 增强现实
Emmanuel Candes老师的《在low-rank领域的新进展》:链接. 巴高师Emmanuel Dupoux老师《步步为营的早期语言发展》====》研究neuroscience和computer science融合是大趋势呀. UC Berkeley的Martin J. Wainwright的《图模型和信息传递算法》:link.

IBM研究员创造出高速石墨烯电路

- hangzhng - Solidot
IBM研究员创造出高速石墨烯电路,报告发表在最新一期的《科学》杂志上. 他们创造的电路是基于石墨烯晶体管和电感元件,其频率最高能达到10 gigahertz. 石墨烯是目前最热门的新材料之一. 此前IBM已经研制出独立的石墨烯晶体管,但未能组成完整电路. IBM的研究得到了DARPA的资助.

德国安全研究员破解Mifare RFID卡加密方法

- SotongDJ - Solidot
智能卡被广泛用于访问限制区域的身份凭证,或用作交通卡. 现在,德国鲁尔大学的研究人员破解了Mifare DESFire MF3ICD40使用的安全算法,破解所需设备仅仅只要3000美元. 破解加密方法将使得完美复制成为可能. 此次破解是基于边信道攻击,研究人员花了七小时才获得智能卡使用的112位加密密钥.

商务部研究员指挪威遭恐怖袭击为“天谴”

- elis - Solidot
bonnae1982 写道 "在挪威发生举世震惊的爆炸和枪击案后,据 媒体报道,中国商务部国际贸易经济合作研究院梅新育,在其经新浪加V认证的微博表示,挪威这是遭受“天谴”.

24岁哈佛研究员涉嫌入侵麻省理工数据库被捕

- 思远&踏雪 - cnBeta.COM
现年24岁的艾伦・斯沃兹(Aaron Swartz)早就上了美国联邦调查局(FBI)的黑名单,而最终逮捕他的则是波士顿警方. 美国《纽约时报》称其为受人尊敬的哈佛大学研究员;英国《卫报》援引斯沃兹支持者的说法,将其比作“数字时代罗宾汉”. 然而由于涉嫌入侵麻省理工学院的网络,继而渗透进全球极负盛名、同时极其昂贵的期刊数据库JSTOR,将约500万份学术论文和评论文章下载到自己的笔记本电脑上,斯沃兹于本月19日被捕.

专访阿里巴巴研究员赵海平:从Facebook到阿里巴巴

- - 博客园_新闻
赵海平,2007 年加入只有不到 50 个软件工程师的 Facebook,致力于软件性能和架构分析,在此期间创建了 HipHop 项目,重新编写和实现 PHP 语言,使其速度提高 5 到 6 倍,为公司节约数十亿美元. HipHop 项目之后,致力于“用异步处理来优化分布式系统”的设计理念中,并为此做了多项分布式数据库的优化研究,在 PHP 语言中加入了 yield 和 generator 的新功能,来帮助日趋复杂的 Facebook 网页设计.

Jeff Dean的Stanford演讲

- zz - 酷壳 - CoolShell.cn
Google 公司的 Jeff Dean 在Stanford大学做了一个非常 精彩的演讲(视频未墙). 我觉得我们每一个人都应该去看一看这个视频,当然,没有字幕,需要不错的听力,当然,我不可能全部翻译出来,因为我也不是完全能听懂,下面是一些相关的Notes,供你参夸,并欢迎牛人指证. 比较了从1999年到2010年十年来的搜索量的变化.

奥巴马开学演讲

- shadow - 无聊哦
童鞋们,新学期开始了…… 来听听奥巴马精彩开学演讲:我们为什么要上学. 以及每个学生的责任,非沉闷式演讲,绝对励志. 美国总统奥巴马在弗吉尼亚州阿灵顿县韦克菲尔德高中向全美中小学生发表新学期致辞. 当天是美国中小学开学的第一天~. 查看原文  |  发表评论(9). © 疾风 for 无聊哦 | 原文链接 | 搞笑哦 | 淘宝网上卖疯了的东东.

​从Elon Musk的主题演讲看5种演讲方式

- - 互联网分析沙龙 - 干货
在新的产品发布上,现代钢铁侠Elon Musk就Powerwall技术做了主题演讲. Elon Musk关于特斯拉Powerwall家用电池科技的演讲就如新鲜空气一样清新. 在短短20分钟的演讲中,Musk讲述了世界对化石燃料的依赖,探讨了它们对环境的负面影响,介绍了Powerwall的解决方案,甚至还告诉了大家该电池的价格及颜色.